Blog Données personnelles
Modification du décret relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information
Le décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information a été publié au journal officiel le jeudi 28 avril 2022. Il réforme des conditions et modalités des signalements prévus à l’article L. 1111-8-2 du code de la santé publique. Les changements introduits sont en vigueur depuis le 29 avril 2022.
Les établissements médico-sociaux désormais concernés
Jusqu’à présent, les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et centres de radiothérapie étaient seuls concernés par cette procédure (Décret n° 2016-1214 du 12 septembre 2016). Les établissements médicaux-sociaux sont dorénavant intégrés à la liste de l’article D. 1111-16-4 du CSP, au même titre donc, que les organismes et services exerçant des activités de prévention, de diagnostic ou de soins.
Un élargissement de la procédure de signalement à de nouvelles catégories d’incidents
L’article D. 1111-16-2 du CSP, qui liste les catégories d’incidents concernés, est modifié. Ainsi, les incidents « graves » comme « significatifs » conduisent désormais tous deux au signalement de l’article L. 1111-8-2 du CSP.
D’autre part, les incidents « susceptibles d’affecter l’organisation départementale, régionale ou nationale du système de santé » ou ceux « susceptibles de toucher d’autres établissements, organismes ou services » sont désormais assimilés aux incidents « ayant des conséquences potentielles ou avérées sur la sécurité des soins » et doivent donc eux aussi faire l’objet d’un signalement.
De nouvelles modalités de mise en œuvre
Le II de l’article D. 1111-16-3 du CSP liste désormais le contenu du signalement effectué.
- Identification de la structure déclarant l’incident
- Description de l’incident : date, périmètre, systèmes concernés ainsi que l’état de sa prise en charge par la structure
- Impact de l’incident sur les personnes, les données, les systèmes ainsi que sur la structure elle-même
- Causes de l’incident si elles sont connues.
La procédure de signalement s’effectue « sans préjudice » d’autres déclarations obligatoires. En effet, seront nécessairement applicables les procédures de notification des violations de données auprès de la CNIL (article 33 du RGPD) ou de signalement des évènements indésirables graves associés aux soins (article L.1413-14 du CSP).
De nouvelles modalités de traitement des signalements
Le décret modifie l’article D. 1111-16-3 du CSP afin que le signalement soit directement effectué, « sans délai », auprès de l’Agence du numérique en santé (ANS).
Désormais, c’est donc l’Agence du numérique en santé qui analyse les incidents graves ou significatifs transmis par les directeurs d’établissements. Elle formule ensuite ses recommandations et propositions tenant aux mesures d’urgence afin de soutenir la structure déclarante et notamment, d’assurer la continuité de la prise en charge. De plus, en cas d’incident de portée nationale ou affectant un opérateur de service essentiel, l’ANS devra coopérer avec l’ANSSI.